Limitare i tentativi di accesso senza un plugin?
Come proteggere la pagina di accesso di WordPress senza utilizzare un plugin
English version: Limit login attempts without a plugin?
Si possono trovare molti commenti e consigli su questo su Internet. Ma è vero?
Di default WordPress consente tentativi di accesso illimitati tramite il modulo di accesso, inviando cookie speciali, utilizzando chiamate XML-RPC e chiamate API REST. Ciò consente di decifrare le password con relativa facilità tramite attacco brute force. Al giorno d'oggi hacker e bot cercano costantemente di accedere al tuo sito WordPress indovinando la tua password di amministratore e le password di altri utenti registrati sul sito. Quindi, se vuoi proteggere il tuo sito senza utilizzare plugin, hai bisogno di:
- Conoscere bene PHP .
- Conoscere abbastanza bene il filtro di autenticazione e l'azione (integrati in WordPress) per agganciarli. Consiglio di iniziare da hook come 'authenticate' e 'wp_login_failed'.
- Tieni traccia del modulo di login, delle richieste di autorizzazione XML RPC e REST API e, sì, non dimenticare i cookie di autorizzazione (sono validi?).
- Memorizza da qualche parte tutti i tentativi con tutti i tentativi di accesso e tutti gli indirizzi IP per calcolare quando e quale IP devi bloccare. Consiglio di usare Transient API. Davvero. Questo è il modo più semplice. Ovviamente, non puoi controllarlo, ma usarlo ti consente di fare qualcosa senza conoscere SQL.
- Calcola il tempo tra tentativi di accesso non riusciti per un determinato IP.
- Avere uno strumento o un codice PHP per resettare uno qualsiasi di quei contatori e bloccare l'IP del cliente. Cosa succederebbe se un cliente legittimo venisse bloccato per caso?
Sembra folle? Hai una seconda opzione. Puoi cercare su Google e prendere qualche frammento di codice da qualche blog su Internet senza alcuna garanzia e supporto.
Conclusione: puoi trovare molti consigli su come limitare i tentativi di accesso senza plugin su Internet. Ma tutti i consigli sono forniti da persone che non sanno nemmeno come funziona esattamente l'algoritmo di autenticazione di WordPress, compresi quei bravi ragazzi di stackoverflow. Ma, in ogni caso, puoi farlo, se non ti preoccupi davvero della sicurezza del tuo sito perché non c'è modo di farlo nel modo giusto senza competenze di programmazione PHP e conoscenza del meccanismo di autenticazione di WordPress.
Se c'è qualcosa di strano sul tuo sito, chi chiamerai?
WP Cerber Security 8.6.3
Che cosa è RID e come utilizzarlo
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.